RSS FEED

21 nov 2010

WireShark: Tutorial básico


WireShark (antes Ethereal) es un programa que analiza el tráfico de nuestra red, se usa para realizar análisis y solucionar problemas en redes de comunicaciones. Este programa se parece a tcpdump, el cual analiza y monitorea todo el tráfico en una red determinada, las diferencias son que este no está disponible en Windows, y que usa libpcap.
Nuestro programa, WireShark, en cambio, usa la libreria winpcap que se habrá de instalar junto al programa. Esta librería es la que se encarga de capturar los paquetes. He de añadir que WireShark es multi-plataforma, teniendo en cuenta que para cada tipo de plataforma hemos de usar una libreria diferente, en Windows(winpcap) y en GNU/Linux (libpcap); pero bueno a nosotros eso no nos importa.

WireShark, también se puede usar como sniffer.

Lo primero de todo es bajarnos el programa de la web oficial:

Wireshark 1.4.2 - 32 bits


Bien seguimos los pasos de instalación normales en Windows, y recordamos instalar WinPcap

Bueno es un tutorial básico os mostraré que podemos hacer para empezar a familiarizarnos con la interfaz y sus utilidades.

Lo abrimos y nos sale algo parecido a esto:


1: Nos permite ver en cada uno, los paquetes que esta recibiendo.
1.1: Si ya sabemos cual vamos a elegir, escogemos la interfaz que más paquetes reciba.
2: Son las opciones que podemos modificar luego iremos a este paso.
3: Es un filtro que nos servirá más adelante para poder hacer una selección de lo que queremos ver en pantalla, y no tener que ir buscandolo entre todo el tráfico.
4: Nos permite abrir unos paquetes ya analizados y guardados.
5: Un manual de la wiki oficial de WireShark en inglés.

Bueno esto no creo que haya sido muy esclarecedor pero a partir de ahora empezaré los ejemplos básicos de uso.


En mi caso la interfaz se llama Microsoft y tenía 700 paquetes capturados. Siguiente paso, apretar Start y comienza el juego ;)

A partir de aquí, vamos a hacernos la idea de que una de dos, hay alguien metido en nuestra red Wi-Fi sin contraseña, o que por algun casual estamos dentro de una red en la que hay más gente conectada. El primer caso lo podemos autoprovocar dejando nuestra red sin contraseña, con eso conseguiríamos atraer víctimas para conseguir saber que se están bajando, que están diciendo por el Messenger e incluso en que página se encuentran en ese mismo instante.

Yo ya he empezado mi captura y bueno he seleccionado que solo me filtre los paquetes que contengan la direccion del Tuenti para poder así analizar la posible conversación que pueda tener nuestra víctima si empiezan a aparecer paquetes es que está navegando por tuenti.


Bueno el 1 son las opciones, con las que puedes filtrar paquetes como solo filtrar paquetes TCP, UDP, etc.. si pones en Filter: http contains "http://www.tuenti.com" ya tienes tu analizador filtrando solo los paquetes del tuenti.

El 2 es para empezar una nueva captura.

Y el 3 para parar la actual, con opción a guardar todos los paquetes capturados.

Y buena "sorpresa" el chat del tuenti no está codificado así que os enseñaré como he podido sacar una porción de una conversación sin codificar.

Si eso es de una conversación por tuenti, eso lo estaba mandando yo como podeis observar. Eso es una ventaja de que no codifiquen el contenido por el chat, ahora vayamos a probarlo al Messenger, iniciamos sesión y empecemos a hablar con alguien.

Le he mandado a un contacto este mensaje: Prueba para Wireshark


Como veis arriba del todo he filtrado los paquetes con el protocolo MSNMS que son todos los relacionados con la mensajería de Windows Live Messenger, también están la dirección de correo del que envia el paquete y la dirección del que lo recibe. Aparte exceptuando la contraseña(que si que esta codificada) las conversaciones las podemos leer claramente, y poder espiar a nuestra víctima.

Espero que os haya dado una pequeña idea de lo que es WireShark, aunque el límite lo poneis vosotros.

17 comentarios:

  1. Anónimo23:58

    Muchísimas gracias, me ha servidor muchísimo, aunque me gustaría poder ver los de Facebook... jaja

    ResponderEliminar
  2. Albert Hofmann19:50

    fantastico, y que viva el LSD!

    ResponderEliminar
    Respuestas
    1. Anónimo13:12

      que viva el LSD? la droga?? Jajaja xD

      Eliminar
    2. Anónimo01:18

      Putos nerds. VIVA el ACIDO. PUTO NERD.

      Eliminar
  3. Anónimo04:48

    Perfecto!!!!

    ResponderEliminar
  4. Anónimo04:53

    como es que veooo lo de otra persona con otra ip.. dentro de la misma red

    ResponderEliminar
  5. Anónimo04:53

    es que solo veo lo de mi pc

    ResponderEliminar
    Respuestas
    1. elsufy19:53

      para ver los de los demas pc conectados a esa red necesitas el backtrack 5

      Eliminar
  6. Anónimo03:06

    Estimados amigos, necesito encontrar la clave de acceso (Password) para un equipo de radio motorola DGP6150, me dijeron que podía conseguirlo con este programa, logré capturar datos, pero no se como descifrar la clave o en que linea aparece. Espero me puedan ayudar. Saludos !!

    ResponderEliminar
  7. Anónimo09:33

    YO TAMBIENN NECESITO LA CLAVE DE ACCESO DE UN EQUIPO DGP6150 MOTOROLA.. PODRIAN AYUDARME???

    ResponderEliminar
  8. Anónimo12:42

    Buen tutorial, saludos desde http://donotwaitmore.com

    ResponderEliminar
  9. Anónimo20:41

    These are genuinely wonderful ideas in about blogging. You have touched some good factors here.
    Any way keep up wrinting.

    my blog connect.xanglao.la

    ResponderEliminar
  10. Anónimo22:44

    una consulta.. como configuro windows para que analice el trafico de otros equipos... , sucede que solo veo mis paquetes u_u , gracis por el aporte , es genial !

    ResponderEliminar
  11. Anónimo22:53

    tienes que matarte y ahi los podras ver, WEONES!!! jaja

    ResponderEliminar
  12. Anónimo01:34

    preguna de vida o muerte, se puede con este capturador de protocolo, observar que se hace una llamada telefonica y en la info ver el numero y si es asi es por ip o se puede ver llamada analogica

    ResponderEliminar
  13. Anónimo00:25

    como seria para whatapp

    ResponderEliminar

Arriba